Azure Lighthouse 和 Azure 托管应用程序
Azure 托管应用程序和 Azure Lighthouse 都可以使服务提供商能够访问客户租户中的资源。 了解它们运行原理的差异、它们可帮助实现的方案及它们组合使用的方式很有帮助。
提示
尽管本主题中只是提到了服务提供商和客户,但管理多个租户的企业也可以使用相同的过程和工具。
下表说明了一些大概差异,这些差异可能会影响你是选择使用 Azure Lighthouse 还是 Azure 托管应用程序。 在某些情况下,你可能需要设计一个将它们结合使用的解决方案。
注意事项 | Azure Lighthouse | Azure 托管应用程序 |
---|---|---|
典型用户 | 管理多个租户的服务提供商或企业 | 独立软件供应商 (ISV) |
跨租户访问的范围 | 订阅或资源组 | 资源组(范围为单个应用程序) |
Azure 市场中可购买 | 否(产品/服务可以发布到 Azure 市场,但客户需要单独计费) | 是 |
IP 保护 | 是(IP 可以保留在服务提供商的租户中) | 是(如果 ISV 选择使用拒绝分配来限制客户访问,则托管资源组会对客户锁定) |
拒绝分配 | 否 | 是 |
借助 Azure Lighthouse,服务提供商可以直接在客户的订阅(或资源组)上执行各种管理任务。 这种访问是通过逻辑投影实现的,它使服务提供商能够登录到自己的租户并访问属于客户租户的资源。 客户可以确定要委派给服务提供商的订阅或资源组,并且可以保持对这些资源的完全访问权限。 他们还可以随时删除服务提供商的访问权限。
若要使用 Azure Lighthouse,客户可通过部署 ARM 模板或通过 Azure 市场中的托管服务来加入。 你可以通过关联合作伙伴 ID 来跟踪对客户参与度的影响。
服务提供商为客户持续执行管理任务时通常会使用 Azure Lighthouse。 若要详细了解 Azure Lighthouse 在技术级别的工作原理,请参阅 Azure Lighthouse 体系结构。
Azure 托管应用程序支持 ISV/发布者提供便于客户在自己的订阅中进行部署和使用的云解决方案。
在托管应用程序中,该应用程序使用的资源会捆绑在一起,并部署到可由 ISV/发布者管理的资源组中。 此“托管资源组”存在于客户的订阅中,但发布者租户中的标识可以访问该资源组。 在 Microsoft 合作伙伴中心内发布套餐时,发布者可以选择由发布者自己启用或禁用管理访问。 此外,发布者还可以限制客户访问(使用拒绝分配),或授予客户完全访问权限。
托管应用程序支持自定义的 Azure 门户体验。 它可用于提供自定义和集成程度更高的体验,使客户自己能够更轻松地执行一些管理任务。
可以将托管应用程序发布到 Azure 市场,作为专用产品/服务供特定客户使用,或作为多个客户可以购买的公共产品/服务。 还可以通过将托管应用程序发布到服务目录,将它们交付给组织中的用户。 可以使用 ARM 模板部署服务目录和市场实例,其中可以包含商业市场合作伙伴的唯一标识符,以跟踪客户使用情况归属。
Azure 托管应用程序通常用于特定客户需求,这可通过完全由服务提供商管理的统包式解决方案来实现。
尽管 Azure Lighthouse 和 Azure 托管应用程序使用不同的访问机制来实现不同的目标,但在某些场景下,服务提供商可以将这两者同时用于同一客户。
例如,客户可能想要服务提供商通过 Azure Lighthouse 提供托管服务,以便他们可以了解合作伙伴的行为,同时继续控制它们委派的订阅。 但是,服务提供商可能不希望客户访问将存储在客户的租户中的某些资源,并且不允许对这些资源进行任何自定义操作。 为了满足这些目标,服务提供商可以将专用产品/服务作为托管应用程序发布。 托管应用程序可以包括部署在客户的租户中的资源组,但客户不能直接访问该资源组。
客户可能还对多个服务提供商提供的托管应用程序感兴趣,无论他们是否也通过任何这些服务提供商提供的 Azure Lighthouse 使用托管服务。 此外,云解决方案提供商 (CSP) 计划中的合作伙伴可以将其他 ISV 发布的某些托管应用程序转售给他们通过 Azure Lighthouse 支持的客户。 借助各种方案,服务提供商可以通过适当的平衡来满足客户的需求,同时在适当的时候限制对资源的访问。
- 了解 Azure 托管应用程序。
- 了解如何将订阅加入 Azure Lighthouse。
- 了解 Azure Lighthouse 的 ISV 方案。